О предоставлении контролируемого доступа к исходному коду Xeoma

Хотите использовать Xeoma в государственных учреждениях? Xeoma отлично для этого подходит! Задуманная как универсальное решение для любых нужд, наша программа может работать в закрытых средах, полностью без доступа в Интернет, в том числе на виртуальных машинах и на операционных системах Linux и их производных типа Astra Linux и подобных.

В некоторых случаях клиенты, планирующие использовать Xeoma на объектах критической инфраструктуры и в государственных учреждениях, просят предоставить доступ к исходному коду Xeoma для обеспечения информационной безопасности и верификации используемого программного обеспечения, ссылаясь на требования госзаказчиков в части аудируемости, прозрачности и подтверждения оригинальности программного продукта.

Xeoma — это программное обеспечение с закрытым исходным кодом. Но, к счастью, в действительности исходный код не требуется.

Прежде всего отметим, что наши партнёры в России, Казахстане и других странах успешно устанавливают Xeoma госзаказчикам без предоставления исходного кода программы, что подтверждает тот факт, что юридически требований доступа к исходному коду не существует.

Чаще всего звучат запросы на подтверждение того, что система:
– безопасна,
– не содержит скрытых каналов передачи данных,
– корректно работает в изолированных контролируемых средах,
– может быть адаптирована под требования информационной безопасности страны.

Обратите внимание, что речь в таких запросах идёт не о требовании передать исходный код, а о возможности провести ограниченный технический аудит либо получить подтверждающие материалы (например, архитектурные схемы, описание внутренних механизмов).

Всё перечисленное проверяется методами, не подразумевающими доступа к исходному коду (пентесты, анализы уязвимостей и т.д.).
Если госзаказчику нужна гарантия, что предоставляемое вами решение не нарушает каких-либо принципов информационной безопасности, то вы можете нанять стороннюю организацию, которая проведёт всё необходимое тестирование и напишет заключение, которые вы уже сможете предоставить госзаказчику. Xeoma не передаёт ни нам, ни сторонним лицам никаких данных за исключением информации о крешах (см. подробнее в GDPR секции EULA); в случае закрытых сетей — не передаёт и это.

Что касается скрытых каналов передачи данных, то даже проверка исходного кода напрямую не является полноценной защитой — «закладки» могут быть и в компиляторе (т.е. иметь значение только после превращения исходного кода в пусковой файл), и в аппаратной части серверного оборудования. В сфере IT лучшей практикой защиты от подобных проблем считается именно тщательное тестирование и меры внутренней информационной безопасности, применяемые в крупных организациях, — например, работа в закрытом контуре, что является 100% гарантией невозможности получения/передачи данных в сеть интернет.

Даже если бы мы предоставили часть исходного кода, по ней невозможно было бы судить о безопасности решения.

Итак, верификация безопасности Xeoma не требует доступа к коду, поскольку этот метод не является показательным. Для обеспечения информационной безопасности рекомендуется применять общепринятые меры: тщательное тестирование и работу в закрытом контуре.

11 декабря 2025